Google macht eine Zero-Day-Lücke in Windows publik

2. November 2020, 13:41
  • google
  • cyberangriff
  • microsoft
  • security
image

Die Windows-Lücke wird in Kombination mit einer gepatchten Chrome-Lücke aktiv ausgenützt. Ein Update von Microsoft gibt es noch nicht.

Das Google-Security-Team Project Zero hat Details zu einer bisher nicht bekannt gegebenen Sicherheitslücke in Windows veröffentlicht. Demnach wird die Schwachstelle aktiv ausgenutzt. Deshalb habe Google Microsoft nur eine Woche Zeit gegeben, um die Schwachstelle zu beheben. Diese Frist sei verstrichen, weshalb Google am 30. Oktober die Details zur Lücke CVE-2020-17087 publiziert habe.
Von der Lücke betroffen sind laut Project Zero mindestens die Betriebssystem-Versionen Windows 7 bis 10.
Laut Googles Project Zero steckt die Schwachstelle im Windows-Kernel und erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten.
Bisher liegt kein Patch für die Lücke vor. Laut Ben Hawkes, Teamleiter von Project Zero, wird Microsoft das Loch jedoch mit dem November-Update, das nächste Woche bereitgestellt werden soll, schliessen. Microsoft hat dieses Datum gegenüber 'Techcrunch' allerdings nicht bestätigt. "Microsoft hat sich gegenüber Kunden verpflichtet, gemeldete Sicherheitsprobleme zu untersuchen und betroffene Geräte zu aktualisieren", so das Unternehmen in einem Statement. Bei der Entwicklung eines Security-Updates brauche es ein Gleichgewicht zwischen Pünktlichkeit und Qualität, so Microsoft, und Ziel sei es, "einen maximalen Kundenschutz bei minimaler Beeinträchtigung der Kunden zu gewährleisten."
Die Windows-Lücke werde gemeinsam mit einer weiteren Zero-Day-Lücke ausgenutzt, so das Google-Team weiter. Dabei handle es sich um eine gepatchte Schwachstelle im Chrome-Browser (CVE-2020-15999). Diese habe es Angreifern ermöglicht, Schadcode aus der Ferne einzuschleusen und innerhalb des Browsers auszuführen. Verknüpft mit dem ungepatchten Windows-Loch sei es möglich, die Sandbox von Chrome zu verlassen und den Schadcode in das zugrundeliegende Betriebssystem einzuschleusen.

Loading

Mehr zum Thema

image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2
image

Vor 39 Jahren: Word 1.0 für MS-DOS erscheint

Im September 1983 brachte das Hause Redmond seine Textverarbeitungs-Software für das Microsoft Disk Operating System, kurz MS-DOS, auf den Markt.

publiziert am 30.9.2022
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022